Een Amerikaanse toezichthouder op de financiële sector heeft in juli aangegeven dat banken en verzekeraars een veel ingrijpender risico-analyse moeten doen als zij gebruik willen maken van cloudcomputing-diensten dan tot nu toe gebruikelijk is. Het komt erop neer dat er voor clouddienstverlening dezelfde voorzorgen nodig zijn als bij uitbesteding van IT.
Cloud computing is een andere vorm van outsourcing, met dezelfde basiskenmerken en dezelfde eisen ten aanzien van het risicobeheer als meer traditionele vormen van outsourcing heeft de Federal Financial Institution Examination Council in een verklaring laten weten. Cloud computing stelt bedrijven in staat om data-opslag en transactieverwerking uit te besteden aan leveranciers die hun datacenters via internet ontsluiten. Dit model stelt afnemers in staat om hun IT te vernieuwen zonder investeringen in eigen hardware en veel sneller dan gebruikelijk nieuwe systemen of extra capaciteit in gebruik te nemen. Maar volgens de Ffiec brengt deze werkwijze nieuwe risico's met zich mee zoals datalekken, die een veel grondiger review vereisen van de dienstverleners en het technisch platform van hun voorkeur dan nu gebruikelijk is.
Deze toezichthouder trekt aan de bel omdat het een aantal keren gruwelijk mis is gegaan met informatiebeveiliging in cloudplatforms. Zo stal een cybercrimebende vorig jaar in één dag 13 miljoen dollar van Fidelity National Information Services, omdat de leverancier van deze bankinstelling zijn cloudplatform niet goed genoeg beveiligd had. Bij de beoordeling van de haalbaarheid van cloud computing moeten financiële instellingen verder kijken dan de kostenvoordelen en de flexibiliteit van de service providers. Zij moeten een gedegen onderzoek doen naar de staat van dienst van de provider en een uitvoerige risico-evaluatie van de specifieke dienst in het cloudplatform waar interesse voor is. In sommige gevallen zal cloud computing te riskant zijn.